7防火墙的防范技术(2)
7.1 DNS Flood攻击防范
攻击介绍
攻击者在短时间内通过向DNS(Domain Name System)服务器发送大量的查询报文,使得服务器不得不对所有的查询请求进行回应,导致DNS服务器无法为合法用户提供服务。
处理方法
根据DNS报文查询速率进行DNS Flood攻击检测。当DNS查询报文速率超过告警设定值后,USG5000会先进行反弹反向探测源主机并结合白名单处理,对于超过了最大设定值DNS报文将直接丢弃 。
防范配置
执行命令firewall defend dns-flood enable,启用DNS Flood攻击防范功能。
配置DNS Flood攻击防范参数。
firewall defend dns-flood interface Gigabit Ethernet 1/0/0 max-rate 100
firewall defend dns-flood ip ip-address 200.18.219.81max-rat 100
firewall defend dns-flood zone untrust max-rate 100
firewall defend dns-flood source-max-rate 10 interval 30
7.2 GET Flood攻击攻击防范
攻击介绍
攻击者向被攻击服务器发送大量的get或post报文,使被攻击服务器系统崩溃而不能处理合法报文。
处理方法
USG检测用户向目标系统发送的get或post报文。如果报文速率超过USG5000的设定值,则USG5000会针对源IP进行URL采样匹配。当匹配次数达到一定值时,USG5000将把源IP加入黑名单。
防范配置
firewall defend get-flood enable
配置GET Flood攻击防范参数。
firewall defend get-flood ip ip-address max-rate 100
firewall defend get-flood zone Untrust max-rate 100
firewall defend get-flood uri block 100 interval15
7.3 地址扫描攻击防范
攻击介绍
运用ping程序探测目标地址,以用来确定目标系统是否存活的标识。也可使用TCP/UDP报文对目标系统发起探测(如TCP ping)。
处理方法
检测进入防火墙的ICMP、TCP和UDP报文,由该报文的源IP地址获取统计表项的索引,如目的IP地址与前一报文的IP地址不同,则将表项中的总报文个数增1。如在一定时间内报文的个数达到设置的阈值,记录日志,并根据配置决定是否将源IP地址自动加入黑名单。
攻防配置
[USG] firewall zone untrust
[USG-zone-untrust] statistic enable ip outzone
[USG] firewall defend ip-sweep max-rate 1000
[USG] firewall defend ip-sweep blacklist-timeout 5
[USG] firewall defend ip-sweep enable
7.4 端口扫描攻击防范
攻击介绍
Port Scan攻击通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。
处理方法
检测进入防火墙的TCP报文或UDP报文,由该报文的源IP地址获取统计表项的索引,如目的端口与前一报文不同,将表项中的报文个数增1。如果报文的个数超过设置的阈值,记录日志,并根据配置决定是否将源IP地址加入黑名单。
攻防配置
[USG] firewall zone untrust
[USG-zone-untrust] statistic enable ip outzone
[USG] firewall defend port-scan max-rate 1000
[USG] firewall defend port-scan blacklist-timeout 5
[USG] firewall defend port-scan enable
7.5 SMURF攻击防范
攻击介绍
Smurf攻击方法是发ICMP请求,该请求包的目标地址设置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。
处理方法
检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址,如是,则直接拒绝,并将攻击记录到日志。
攻防配置
firewall defend smurf enable
7.6 LAND攻击防范
攻击介绍
把TCP
的源地址和目标地址都设置成某一个受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,占用系统资源或使目的主机崩溃。
处理方法
对每一个的IP报文进行检测,若其源地址与目的地址相同,或者源地址为环回地址(127.0.0.1),则直接拒绝,并将攻击记录到日志。
攻防配置
firewall defend land enable
7.7 Fraggle攻击防范
攻击介绍
Fraggle类似于Smurf攻击,使用UDP应答消息而非ICMP。UDP端口7(ECHO)和端口19(Chargen)在收到UDP报文后,大量无用的应答报文,占满网络带宽。
处理方法
检查进入防火墙的UDP报文,若目的端口号为7或19,则直接拒绝,并将攻 击记录到日志,否则允许通过。
攻防配置
firewall defend fraggle enable
7.8 IP Fragment攻击
攻击介绍
IP报文中有几个字段与分片有关:DF位、MF位,Fragment Offset 、Length
。如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,甚至瘫痪。
处理方法
检查IP报文中与分片有关的字段(DF位、MF位、片偏置量、总长度)是否以下矛盾,如发现含有如下矛盾,则直接丢弃。将攻击记录到日志:
DF位为1,而MF位也为1或Fragment Offset不为0; DF位为0,而Fragment Offset + Length>
65535。
攻防配置
[USG]firewall defend ip-fragment enable
